AWS Organizations

Quản lý và điều hành tập trung môi trường của bạn khi bạn thay đổi quy mô tài nguyên AWS

AWS Organizations giúp bạn quản lý và điều hành tập trung môi trường của mình khi bạn phát triển và thay đổi quy mô tài nguyên AWS. Khi sử dụng AWS Organizations, bạn có thể tạo theo lập trình các tài khoản AWS mới và phân bổ tài nguyên, tài khoản nhóm để sắp xếp luồng công việc, áp dụng chính sách vào các tài khoản hoặc nhóm để quản lý và thanh toán đơn giản bằng cách sử dụng một phương thức thanh toán duy nhất cho tất cả tài khoản.

Ngoài ra, AWS Organizations được tích hợp với các dịch vụ AWS khác nên bạn có thể xác định cấu hình tập trung, cơ chế bảo mật, yêu cầu kiểm tra và chia sẻ tài nguyên trong các tài khoản của tổ chức. AWS Organizations được cung cấp miễn phí cho toàn bộ khách hàng AWS.

Quản lý môi trường của bạn

Lợi ích

Nhanh chóng thay đổi quy mô luồng công việc

AWS Organizations giúp bạn nhanh chóng thay đổi quy mô môi trường bằng cách cho phép bạn tạo theo lập trình các tài khoản AWS mới. Một tài khoản AWS là kho chứa tài nguyên của bạn. Sử dụng nhiều tài khoản giúp bạn có được ranh giới bảo mật tích hợp. Việc này cũng trao quyền cho nhóm của bạn bằng cách cung cấp cho họ các tài khoản được chỉ định và bạn có thể tự động cung cấp tài nguyên và quyền bằng AWS CloudFormation StackSets.

Cung cấp môi trường tùy chỉnh cho khối lượng công việc khác nhau

Bạn có thể dùng Organizations để áp dụng các chính sách cho nhóm của mình tự do xây dựng với tài nguyên mà họ cần bên trong ranh giới an toàn mà bạn đặt ra. Bằng việc sắp xếp các tài khoản vào đơn vị tổ chức (OU) là các nhóm tài khoản phục vụ cho một ứng dụng hoặc dịch vụ, bạn có thể áp dụng chính sách kiểm soát dịch vụ (SCP) để tạo ranh giới quản lý có mục tiêu cho OU của mình.

Bảo mật và kiểm tra tập trung môi trường trong các tài khoản

Quản lý việc kiểm tra theo quy mô bằng AWS CloudTrail để tạo nhật ký bất biến của tất cả sự kiện từ tài khoản. Bạn có thể thực thi và giám sát yêu cầu sao lưu với AWS Backup hoặc xác định tập trung tiêu chí cấu hình đề xuất trong tài nguyên, AWS Regions và tài khoản với AWS Config. Bạn cũng có thể dùng AWS Control Tower để thiết lập kiểm tra bảo mật liên tài khoản hoặc quản lý và xem chính sách được áp dụng trong tài khoản.

Ngoài ra, bạn có thể bảo vệ tài nguyên của mình bằng cách quản lý tập trung các dịch vụ bảo mật, như phát hiện mối đe dọa với Amazon GuardDuty hoặc đánh giá quyền truy cập vô tình với AWS IAM Access Analyzer.

Đơn giản hóa quản lý quyền và kiểm soát truy cập

Đơn giản hóa quản lý quyền dựa trên người dùng với mọi người trong tổ chức bằng AWS Single Sign-On (SSO) và Active Directory của bạn. Bạn có thể áp dụng các biện pháp đặc quyền tối thiểu bằng cách tạo quyền tùy chỉnh cho các danh mục tác vụ. Bạn cũng có thể kiểm soát quyền truy cập vào các dịch vụ AWS bằng cách áp dụng chính sách kiểm soát dịch vụ (SCP) cho người dùng, tài khoản hoặc OU.

Cung cấp tài nguyên hiệu quả cho các tài khoản

Bạn có thể giảm trùng lặp tài nguyên bằng cách chia sẻ các tài nguyên quan trọng trong tổ chức bằng AWS Resource Access Manager (RAM). Các tổ chức cũng giúp bạn đáp ứng thỏa thuận cấp phép phần mềm với AWS License Manager và duy trì danh mục các dịch vụ CNTT và sản phẩm tùy chỉnh với AWS Service Catalog.

Quản lý chi phí và tối ưu mức sử dụng

AWS Organizations tạo điều kiện cho bạn đơn giản hóa chi phí và tận dụng lợi thế của chiết khấu số lượng với một hóa đơn duy nhất. Ngoài ra, bạn có thể tối ưu mức sử dụng trong tổ chức với các dịch vụ như AWS Compute OptimizerAWS Cost Explorer

Cách thức hoạt động

Diagram_AWS-Organizations_How-It_Works_v2

Trường hợp sử dụng

Tự động hóa quá trình tạo tài khoản AWS và phân loại khối lượng công việc bằng cách sử dụng các nhóm

Bạn có thể tự động hóa quá trình tạo tài khoản AWS mới khi bạn cần khởi chạy nhanh khối lượng công việc mới, thêm chúng vào các nhóm do người dùng định nghĩa trong tổ chức để áp dụng ngay chính sách bảo mật, triển khai cơ sở hạ tầng không cần thao tác can thiệp và kiểm tra. Ví dụ: bạn có thể tạo các nhóm riêng lẻ để phân loại tài khoản phát triển và sản xuất, sau đó dùng AWS CloudFormation StackSets để cung cấp dịch vụ và quyền cho mỗi nhóm.

Triển khai và thực hiện các chính sách kiểm tra cũng như tuân thủ

Bạn có thể áp dụng SCP để đảm bảo người dùng trong tài khoản chỉ thực hiện hành động đáp ứng yêu cầu bảo mật và tuân thủ của mình. Hơn nữa, bạn có thể tạo nhật ký tập trung tất cả hành động được thực hiện trong tổ chức bằng AWS CloudTrail, xem và thực thi cấu hình tài nguyên tiêu chuẩn trong các tài khoản và AWS Regions với AWS Config và tự động áp dụng bản sao lưu thường xuyên với AWS Backup. Bạn cũng có thể dùng AWS Control Tower để áp dụng các quy tắc quản trị được trang bị sẵn về bảo mật, vận hành và tuân thủ để quản trị liên tục khối lượng công việc AWS của mình.

Cung cấp công cụ và quyền truy cập cho đội ngũ bảo mật của bạn, đồng thời khuyến khích phát triển

Bạn có thể sử dụng AWS Organizations để tạo nhóm Bảo mật và cung cấp cho họ quyền truy cập chỉ đọc vào tất cả tài nguyên để xác định và giảm thiểu mối lo ngại về bảo mật. Ngoài ra, bạn có thể cung cấp cho họ quyền quản lý Amazon GuardDuty để họ có thể chủ động theo dõi và giảm thiểu mối đe dọa tới khối lượng công việc và IAM Access Analyzer để nhanh chóng xác định quyền truy cập vô tình vào tài nguyên của bạn.

Chia sẻ tài nguyên chung trên các tài khoản

AWS Organizations cho phép bạn dễ dàng chia sẻ các tài nguyên tập trung quan trọng trên nhiều tài khoản. Ví dụ: bạn có thể chia sẻ Microsoft Active Directory được quản lý của AWS Directory Service tập trung để các ứng dụng có thể truy cập vào kho danh tính tập trung của bạn. Dùng AWS Service Catalog để chia sẻ các dịch vụ CNTT được lưu trữ trong các tài khoản được chỉ định để người dùng có thể nhanh chóng khám phá và triển khai các dịch vụ được phê duyệt. Ngoài ra, bạn có thể đảm bảo các tài nguyên ứng dụng được tạo trên mạng conAmazon Virtual Private Cloud (VPC) bằng cách xác định tập trung chúng một lần và chia sẻ trong tổ chức của bạn bằng AWS Resource Access Manager.

Khách hàng

Samsung

"Khi sử dụng AWS Organizations, chúng tôi có thể tăng tốc quá trình phát triển bằng cách trao cho các nhóm môi trường của riêng họ trong từng tài khoản, cho phép họ phát triển đồng thời mà không ảnh hưởng đến các nhóm hoặc quy trình khác. Chúng tôi có thể nhóm các tài khoản theo đơn vị kinh doanh bằng các đơn vị tổ chức, cũng như có thể hỗ trợ 3 giai đoạn phát triển chung cho ứng dụng. Kết quả là chúng tôi có thể tăng tốc quá trình đưa dự án lên đám mây nhanh hơn gấp 5 lần, giảm số lượng vé yêu cầu quyền IAM xuống 10 lần và gặp ít hơn 3 lần số lượng sự cố về tính ổn định. Tất cả những điều này có được chỉ đơn giản là nhờ sử dụng API từ AWS Organizations”. 

Gaurav Jain, Giám đốc, Nền tảng đám mây - FactSet

Samsung

“Sử dụng AWS Organizations, GoDaddy có thể triển khai các rào chắn bảo mật nhất quán trên các tài khoản, đồng thời cung cấp cho các nhóm ứng dụng sự linh hoạt để xây dựng theo tốc độ nhanh của riêng họ. Ví dụ: chúng tôi sử dụng AWS Config ở cấp tổ chức để theo dõi và thu thập chi tiết cấu hình cơ sở hạ tầng. Chúng tôi có thể xem và duy trì chi phí khi các nhóm phát triển các ứng dụng mới và cung cấp môi trường phát triển cụ thể bằng cách cấp cho các nhóm tài khoản cho các giai đoạn sandbox, kiểm thử và sản xuất. Chúng tôi đã xây dựng những ứng dụng tùy chỉnh giúp các nhà phát triển tự tin triển khai tài nguyên theo các tiêu chuẩn tuân thủ của GoDaddy và có thể dễ dàng phân phối tài nguyên cho các tài khoản bằng việc tích hợp AWS Service Catalog".

Ketan Patel, Giám đốc cấp cao, Phát triển phần mềm - GoDaddy

Samsung

“GE sử dụng Dịch vụ nhận dạng AWS để hỗ trợ doanh nghiệp toàn cầu của họ và cho phép doanh nghiệp hoạt động an toàn trên đám mây. AWS Organizations và Chính sách kiểm soát dịch vụ (SCP) cung cấp khả năng quản trị từ trên xuống và cho phép ủy quyền quản lý chính sách dựa trên danh tính và tài nguyên cho từng đơn vị kinh doanh. Mô hình này cho phép các doanh nghiệp di chuyển độc lập và hoạt động trên quy mô lớn để giải quyết những thách thức ngành ngày nay.”

Matthew Green, Giám đốc cấp cao về kiến trúc đám mây - GE

Samsung

"Chúng tôi đã tạo điều kiện cho bộ phận tài chính của mình theo dõi chi phí đám mây dễ dàng hơn bằng cách sử dụng AWS Organizations, vì dịch vụ này cung cấp cho họ một hóa đơn duy nhất và giúp chúng tôi có đủ điều kiện nhận chiết khấu số lượng lớn và mức giá thấp hơn từ các gói tiết kiệm của AWS. Ngoài ra, việc sử dụng AWS SSO bằng AWS Organizations cho phép chúng tôi tập trung việc xác thực cho nhà cung cấp danh tính (IdP). Đây là một cải tiến lớn hàng ngày cho nhân viên của chúng tôi, từ đó, họ không gặp phải tình trạng có các bộ thông tin xác thực khác nhau để truy cập nhiều tài khoản AWS. Nhóm bảo mật cơ sở hạ tầng của chúng tôi cũng có thể tập trung hóa hoạt động quản lý quyền truy cập, từ đó tăng cường bảo mật nền tảng và giảm chi phí vận hành."

Rocco Zanni, Giám đốc công nghệ - Spreaker

Samsung

“Chúng tôi đã bắt đầu sử dụng AWS Organizations để quản lý tài khoản cho môi trường đa tài khoản và đơn giản hóa việc thanh toán của chúng tôi. Chúng tôi cũng đã đơn giản hóa đáng kể việc quản lý truy cập của mình bằng cách tích hợp AWS SSO. AWS Organizations cho phép chúng tôi cô lập khối lượng công việc có hồ sơ rủi ro tương tự trong phạm vi tài khoản riêng, xác định quyền sở hữu tài khoản thông qua thẻ tài khoản và thực thi các biện pháp kiểm soát bằng Chính sách kiểm soát dịch vụ mà quản trị viên của tài khoản thành viên không thể ghi đè. Giờ đây, chúng tôi có thể cung cấp tài khoản mới một cách nhanh chóng và an toàn giúp các nhà phát triển của chúng tôi tập trung vào giải pháp kinh doanh.”

Jaime Villegas, Trưởng bộ phận dịch vụ doanh nghiệp - Bancolombia

Ấn bản và bài viết gần đây

Ngày
  • Ngày
Thêm…

Hiện không tìm thấy bài đăng nào trên blog. Vui lòng tham khảo Blog AWS để xem các tài nguyên khác.

Khám phá thêm trên Blog bảo mật của AWS.

Tìm hiểu thêm về AWS Organizations

Truy cập trang tính năng
Bạn đã sẵn sàng xây dựng chưa?
Bắt đầu với AWS Organizations
Bạn có thêm câu hỏi?
Liên hệ với chúng tôi